>
Blog

Améliorer les enquêtes sur le dark web grâce à la Threat Intelligence

Publié : 10 avril 2024
By: Sam Langrock, Dmitry Smilyanets

La protection des données sensibles, le maintien de la réputation de la marque et le développement de la confiance des clients constituent des défis permanents pour les entreprises. Cependant, le dark web, un coin caché d’Internet, pose des défis uniques aux professionnels de la cybersécurité. Les activités criminelles telles que la vente d’identifiants volés et les plans d’attaques ciblées prospèrent dans cette section « sombre » d’Internet.

Cet article de blog explore certaines des menaces qui proviennent du dark web et comment les solutions externes de renseignement sur les menaces peuvent permettre aux organisations de se défendre de manière proactive.

Depuis sa création au début des années 2000, le dark web est devenu une plaque tournante pour les activités illégales. Il facilite le commerce de méthodes de piratage et d'informations d'identification compromises, ainsi que la distribution de logiciels malveillants et de rançongiciels. Il est également en constante évolution, les acteurs de la menace découvrant, partageant et exploitant chaque jour de nouvelles vulnérabilités et de nouveaux exploits.

Au cours des premiers stades du dark web, les forums secrets et les plateformes de partage de fichiers ont prospéré, ressemblant à une version obscure de Reddit ou d’Etsy. La tristement célèbre route de la soie, détaillée en détail dans le livre American Kingpin, et l’émergence de crypto-monnaies comme le bitcoin ont joué un rôle crucial dans la formation du dark web, donnant naissance à des marchés clandestins sophistiqués semblables à un « dark eBay ».

Des groupes de ransomware notoires comme LockBit et ALPHV opèrent sur des plateformes du dark web, s’attribuant le mérite de leurs actions et révélant leurs cibles. De plus, Telegram est devenu une plate-forme privilégiée pour les engagements secrets, facilitant et permettant une gamme d’activités allant de la communication à la coordination en passant par la distribution de contenu malveillant.

Les attaques résultant de conversations, de partages d’informations et de transactions sur le dark web ont entraîné des pertes financières, opérationnelles et de réputation pour des organisations du monde entier. Cependant, l’amélioration des capacités de surveillance du dark web peut aider les organisations à être proactives dans l’atténuation des menaces qui pèsent sur leur activité, leurs clients et leur chaîne d’approvisionnement.

Comment le dark web affecte-t-il les organisations ?

Le dark web en soi n’est pas si dangereux pour la plupart des organisations, mais ce qui s’y passe devrait piquer l’intérêt des défenseurs. Le dark web fournit une plate-forme permettant aux groupes de ransomware d’opérer et aux acteurs malveillants de vendre et d’échanger des logiciels malveillants, des informations d’identification compromises, des kits d’exploitation et des cartes de paiement volées.

Rançongiciels

Le dark web est un foyer bien connu des groupes de ransomware, qui ont continué à faire des ravages sur les organisations en 2023. Au cours de l’année écoulée, les paiements de ransomware ont grimpé à 1,1 milliard de dollars (The Record) et, selon un rapport de Delinea, 76 % des victimes ont payé une rançon. Le dark web fournit un environnement sécurisé et anonyme permettant aux groupes de ransomware de communiquer, de collaborer et de mener leurs activités illicites.

Pouvoirs

Les marchés et les forums du dark web sont des destinations populaires pour les courtiers en accès initial et les acteurs de la menace qui cherchent à vendre et à acheter des identifiants valides. Les informations d’identification valides sont devenues si populaires pour les acteurs malveillants que, selon les vecteurs d’accès initiaux de MITRE ATT&CK, Valid Accounts (T1078) était le TTP le plus élevé selon Recorded Future et IBM X-Force.

À l’aide des informations de notre module Identity Intelligence , les chercheurs d’Recorded Future ont constaté une augmentation de 135 % du nombre total d’identifiants collectés et une augmentation de 166 % des identifiants associés aux cookies. De plus, les chercheurs d’IBM ont constaté une augmentation de 266 % de l’utilisation des voleurs d’informations. Avec l’accès et les contacts appropriés, quelqu’un peut acheter un identifiant valide pour seulement 10 $, ce qui lui permet de se connecter à un réseau d’entreprise ou à un compte personnel, de contourner les contrôles d’authentification multifactorielle et de commencer son infiltration.

DarkWebBlogPost_Identity.webp Le module Identity Intelligence de Recorded Future aide les organisations à se défendre contre les informations d’identification des employés et des clients qui ont été volées par des logiciels malveillants voleurs d’informations. Découvrez comment Toyota Motors Amérique du Nord se défend contre les informations d’identification compromises et faites une visite interactive de l’intelligence d’identité.

Kits d’exploitation

À l’instar des cuisiniers novices qui achètent des kits de repas, les acteurs malveillants moins expérimentés peuvent acheter des kits d’exploitation sur le dark web. Malgré leur légère baisse de popularité, les kits d’exploitation du dark web sont des outils et des frameworks pré-packagés que les cybercriminels utilisent pour exploiter les vulnérabilités des logiciels et des systèmes. Ces kits permettent aux acteurs malveillants de lancer plus facilement des attaques et d’obtenir un accès non autorisé aux systèmes ciblés. Ils constituent souvent une passerelle pratique permettant aux cybercriminels d’exploiter les vulnérabilités sans avoir besoin de compétences techniques avancées.

Cartes de paiement

En 2022, il semblait que le marché du dark web pour les cartes de crédit volées ralentissait. Cependant, l’offre a rebondi à ses niveaux précédents en 2023. Selon le rapport annuel 2023 sur la fraude aux paiements de Recorded Future, 71,4 millions de cartes de paiement ont été mises en vente sur le dark web en 2023, et 48 millions supplémentaires ont été publiées gratuitement sur diverses sources. Une accusation médiane de fraude de 79 $ a entraîné 9,4 milliards de dollars de pertes évitables pour les émetteurs de cartes et 35 milliards de dollars de frais de rétrofacturation potentiels pour les commerçants et les acquéreurs.

Comment Recorded Future corrige-t-il les menaces provenant du dark web ?

Sites Web d’extorsion de ransomware

Les acteurs de la menace utilisent des sites Web d’extorsion de ransomware pour menacer de divulguer les fichiers des victimes. Ces fichiers comprennent souvent des détails sur le réseau, des informations et des documents financiers, des informations d’identification personnelles, des informations d’identification d’employés ou de clients et d’autres informations sensibles qui motivent la victime à payer la rançon. Les victimes qui concèdent le font généralement en promettant que les données seront supprimées, mais nous avons vu avec Lockbit que cela ne se produit pas toujours. D’autre part, les victimes qui ne paient pas sont susceptibles de voir d’autres fuites de données publiées sur le site d’extorsion.

Pendant des années, Recorded Future a collecté des informations sur des sites Web d’extorsion de ransomware, les a analysées et les a transformées en informations exploitables pour aider les organisations à atténuer de manière proactive l’impact d’une attaque de ransomware. À l’heure actuelle, Recorded Future collecte des informations à partir de messages texte, d’images et de métadonnées de fichiers divulgués sur plus de 100 sites Web d’extorsion de ransomware.

Les informations trouvées dans les métadonnées des victimes de ransomware peuvent aider à identifier les entreprises et les organisations qui pourraient être des victimes directes ou indirectes d’une attaque de ransomware. L’accès aux métadonnées des fichiers divulgués permet aux organisations d’enquêter sur les prospects pour une exposition potentielle des données qui pourrait les affecter, ainsi que les tiers et les quatrièmes parties concernées.

FI Blog_Image 1.webp Image de l’analyse des métadonnées des victimes de ransomware de Recorded Future, qui permet d’identifier les organisations les plus susceptibles d’être victimes (directes ou indirectes) d’un incident de ransomware.

Marchés du Dark Web

Contrairement aux sites de commerce électronique sur le Web ouvert, les marchés du dark web comme Russian Market, 2Easy et d’autres font fortune en vendant des informations d’identification compromises, des informations personnelles et des cartes de crédit volées. Les auteurs de menace peuvent utiliser ces renseignements pour accéder au compte d’un employé, créer des campagnes de harponnage personnalisées ou effectuer des transactions frauduleuses.

Recorded Future recueille des informations auprès d’un certain nombre de marchés du dark web pour aider les organisations à atténuer tout risque découlant des articles en vente. Par exemple, en identifiant les informations de carte de crédit volées vendues sur les marchés du dark web, les émetteurs de cartes peuvent mettre en place des contrôles renforcés sur les cartes présentant un risque élevé d’être utilisées à des fins de fraude. Des signaux supplémentaires, tels que la vente de la carte ou l’utilisation de transactions avec des « commerçants testeurs » connus, peuvent permettre à l’émetteur de prendre des mesures proactives pour empêcher la carte d’effectuer d’autres transactions ou d’émettre une nouvelle carte au client.

Selon une grande institution financière nord-américaine, « lorsque des transactions sont effectuées sur des cartes clients identifiées par Recorded Future comme étant présentes sur le dark web ou utilisées sur des marchands testeurs connus, la plupart du temps, la transaction est en fait frauduleuse ».

Dark Web Blog - Image 2.webp Recorded Future Payment Fraud Intelligence détecte les cartes de paiement compromises en vente sur le dark web, ce qui permet aux institutions financières d’adopter une approche proactive pour prévenir la fraude.

Dark Web Forums

Les forums du dark web sont souvent le lieu où les conversations entre les acteurs de la menace, ceux qui ont quelque chose à vendre et les cybercriminels moins qualifiés à la recherche d’outils plus avancés. Les acteurs de la menace peuvent échanger des informations, des techniques et des outils pour améliorer leurs compétences en matière de piratage et se tenir au courant des dernières tendances en matière de cybercriminalité. Certains utiliseront les forums du dark web pour recruter des affiliés afin de mener des activités cybercriminelles, notamment la distribution de logiciels malveillants, le lancement de campagnes de phishing et la participation à des attaques de ransomware.

À l’instar des marchés du dark web, les forums du dark web servent également de places de marché où les acteurs de la menace peuvent vendre des informations d’identification compromises, des données personnelles, des détails financiers et d’autres informations précieuses. Ils peuvent également faciliter le commerce d’outils de piratage, de kits d’exploitation, de chevaux de Troie d’accès à distance (RAT) et d’autres logiciels malveillants qui peuvent être utilisés pour compromettre les systèmes et les réseaux.

Recorded Future collecte des informations à partir de plus de 250 sources de forum dark web de premier et de niveau moyen afin de fournir des informations exploitables aux organisations. Il peut s’agir de savoir si les auteurs de menace mentionnent la marque d’une organisation ou les partenaires de la chaîne d’approvisionnement, si de nouvelles vulnérabilités sont mentionnées et quels acteurs de la menace sont connus pour utiliser des forums spécifiques.

Les mentions fréquentes d’une entreprise ou d’un produit sur le dark web sont souvent corrélées, indiquant une attaque imminente, une vente illicite d’actifs ou de comptes de l’entreprise, ou des stratagèmes de fraude potentiellement plus complexes.

La surveillance du dark web offre une visibilité sur cet environnement restreint pour aider les clients à garder une longueur d’avance sur les campagnes de cybercriminalité susceptibles d’affecter leur organisation, leurs fournisseurs ou les produits logiciels qu’ils utilisent.

Telegram

Depuis sa création en 2012, Telegram, une application de chat polyvalente, a rapidement gagné en popularité parmi la communauté cybercriminelle clandestine. La sécurité de Telegram, le grand nombre d’options de chat et la commodité ont conduit à sa popularité croissante. Peu de marchés du dark web rivalisent avec la fiabilité de Telegram.

Selon certains experts, l’avenir de l’activité criminelle à grande échelle et hautement spécialisée se déroulera sur Telegram et les alternatives futures. À l’heure actuelle, les cybercriminels utilisent les groupes Telegram pour effectuer des transactions de marchandises illicites, publier des annonces sur des forums Internet connexes et communiquer avec d’autres criminels.

Recorded Future aide les organisations à comprendre les discussions liées au cyberespace sur Telegram à propos de leurs propres marques, des tiers concernés et d’autres organisations notables. Étant donné que les acteurs malveillants discutent souvent de leurs activités sur Telegram, qu’il s’agisse de signaler des attaques planifiées, d’échanger des informations ou de partager des résultats, la visibilité permet aux organisations de garder une longueur d’avance sur les menaces et de renforcer leur résilience face aux risques inattendus.

Recorded Future a aidé un client à détecter les informations d’identification exposées sur un canal Telegram, ce qui lui a permis d’identifier la menace et d’améliorer l’urgence de remédier au risque. Un autre client du secteur des services financiers a pu identifier un chèque frauduleux sur une chaîne Telegram grâce aux capacités de reconnaissance optique de caractères (OCR) de Recorded Future. L’analyste a signalé l’incident à son équipe interne de gestion de la fraude afin d’éviter que le chèque ne soit encaissé.

Comment Recorded Future aide à atténuer les menaces du dark web

Les acteurs de la menace utilisent depuis longtemps les sites et les forums du dark web pour rester anonymes et tenter de prendre l’avantage sur leurs cibles. Il est peu probable que cela change de sitôt. Pour relever ce défi, les entreprises ont besoin d’une visibilité proactive dans les recoins profonds du dark web afin de s’assurer qu’elles peuvent atténuer les menaces. Pour aider les praticiens et les responsables de la sécurité, Recorded Future fournit des renseignements détaillés sur un large éventail de canaux du dark web, qui peuvent être fournis via des alertes, des playbooks et des rapports de renseignement personnalisés.

Notifications d’alerte

Sans alerte en temps opportun, le renseignement devient une collection d’informations. Pour de nombreux clients, la capacité à hiérarchiser les alertes en fonction des renseignements sur les menaces externes et les facteurs de risque est cruciale pour améliorer leurs opérations de sécurité et la gestion des risques. La possibilité de créer différentes règles d’alerte et de gérer les notifications permet aux utilisateurs de s’assurer qu’ils reçoivent des alertes pertinentes et opportunes. De plus, les informations sur l’IA Recorded Future et les preuves transparentes aident les utilisateurs à déterminer rapidement la gravité d’une alerte et les mesures à prendre.

DarkWebBlogPost_AI.webp Les informations sur l’IA Recorded Future aident les organisations à réduire le temps d’enquête en fournissant un contexte automatisé et exploitable. L’exemple ci-dessus montre les informations d’IA pour RedLine Stealer. Pour en savoir plus sur les récentes mises à jour de Recorded Future AI Insights, consultez cet article de blog.

Un client de Recorded Future a trouvé avantageux de mettre en place un rapport automatique pour toute mention de la marque ou des références de son organisation sur le deep dark web. Les alertes générées par Recorded Future libèrent les analystes de l’organisation de la nécessité de créer et d’exécuter les mêmes requêtes encore et encore, ce qui leur donne le temps de se concentrer sur des tâches plus stratégiques.

Alertes de playbook

Lorsque des menaces sont détectées sur le dark web, les défenseurs ont besoin d’un moyen de distiller rapidement les informations, de trier les alertes et de réduire le temps d’action. Les alertes de playbook de Recorded Future aident les défenseurs en automatisant les grandes phases de l’enquête, en informant les utilisateurs de l’évolution des risques, en produisant des verdicts et en fournissant des recommandations sur les prochaines étapes. De plus, les alertes du playbook sont automatiquement classées par ordre de priorité en fonction de la gravité et du risque, ce qui permet aux organisations de savoir où se concentrer.

Les clients déclarent être 48 % plus rapides qu’auparavant dans l’identification d’une nouvelle menace, les alertes de playbook étant un élément clé de la réduction du temps moyen de détection (MTTD) et du temps moyen d’investigation (MTTI). Ces alertes se sont avérées bénéfiques pour les cyberévénements tiers à fort impact, aidant les organisations à identifier des problèmes tels que l’attention récente sur les sites Web d’extorsion de ransomware, les informations d’identification compromises par des logiciels malveillants de vol d’informations et les discussions d’exploitation sur les vulnérabilités qui pourraient affecter leur pile technologique.

Lorsque le renseignement n’est ni opportun ni exploitable, il devient rapidement de l’histoire ancienne. Pour naviguer dans l’écosystème complexe des menaces d’aujourd’hui, les entreprises ont besoin d’informations proactives sur le dark web et les sources fermées pour les aider à surveiller les menaces qui pèsent sur leur organisation, leurs partenaires ou leur secteur d’activité. Grâce à une vaste collection de renseignements opportuns et exploitables provenant de sources du dark web, Recorded Future arme les défenseurs avec des informations distillées pour renforcer leur résilience face aux menaces inattendues.

Pour voir comment Recorded Future peut améliorer la visibilité du dark web pour votre organisation, demandez une démonstration.

Related